1 | Включение валидации DNSSEC с доверием к корневому ключу в Unbound |
---|
2 | ----------------------------------------------------------------- |
---|
3 | |
---|
4 | Вам нужно зайти на машину с кэширующим сервером, т.е. для группы 1, вам |
---|
5 | нужно использовать resolv.grp1.dns.nsrc, так же, как вы делали в |
---|
6 | упражнении по конфигурированию unbound. |
---|
7 | |
---|
8 | 1. Получите корневой ключ |
---|
9 | |
---|
10 | Замечание: это нужно только для целей данной лабораторки - в сети Интернет, |
---|
11 | вы просто использовали бы "unbound-anchor" для скачивания настоящего |
---|
12 | root.key, и указали бы "auto-trust-anchor-file:" в unbound.conf, и повзолили |
---|
13 | бы unbound обновлять ключ при необходимости. |
---|
14 | |
---|
15 | В этом упражнении, спросите преподавателя о том, ипсользуете ли вы "RZM" |
---|
16 | или нет. |
---|
17 | |
---|
18 | С использованием RZM |
---|
19 | -------------------- |
---|
20 | |
---|
21 | |
---|
22 | Посетите https://rzm.dnssek.org/, и скопируйте строчку trust-anchor |
---|
23 | ЦЕЛИКОМ с этой страницы в файл /usr/local/etc/unbound/root.key |
---|
24 | |
---|
25 | Без использования RZM |
---|
26 | --------------------- |
---|
27 | |
---|
28 | Скопируйте ключ с корневого сервера: |
---|
29 | |
---|
30 | # scp sysadm@a.root-servers.net:root.key /usr/local/etc/unbound/root.key |
---|
31 | |
---|
32 | Отредактируйте файл /usr/local/etc/unbound/unbound.conf: |
---|
33 | |
---|
34 | Найдите строку "trust-anchor-file:", и измените ее с: |
---|
35 | |
---|
36 | # trust-anchor-file: "" |
---|
37 | |
---|
38 | на |
---|
39 | |
---|
40 | trust-anchor-file: "/usr/local/etc/unbound/root.key" |
---|
41 | |
---|
42 | 2. Перезапустите DNS-сервер |
---|
43 | |
---|
44 | # service unbound restart |
---|
45 | |
---|
46 | 3. dig @localhost +dnssec mytld. SOA |
---|
47 | |
---|
48 | На что вы обратили внимание? |
---|